Продолжаем цикл постов про основные классы решений, используемых в AppSec/DevSecOps. В пр…

Продолжаем цикл постов про основные классы решений, используемых в AppSec/DevSecOps. В прошлый раз мы поговорили про SAST, теперь пришло время его «брата» — DAST 💀

Что такое DAST?

DAST — это Dynamic Application Security Testing, или «динамическое тестирование безопасности приложений». В отличие от SAST, который ковыряется в исходниках, DAST смотрит на приложение «снаружи», уже в работающем виде. Это метод «чёрного ящика»: у нас нет доступа к коду, мы видим только то, что доступно конечному пользователю или злоумышленнику. И проверяем: а что будет, если попробовать ввести в форму данные неправильного формата? А если поиграться с запросами к серверу? 🧐

Для чего используется DAST?

Если упростить, то DAST нужен для того, чтобы проверить, как ведёт себя приложение в боевых условиях. Решения этого класса симулируют действия атакующего: отправляют необычные запросы, пробуют SQL-инъекции, XSS, проверяют работу сессий и cookies и многое другое. То есть это своего рода «пентестер на минималках» (да простят меня пентестеры за такое сравнение; повторюсь — на сильных-сильных минималках; DAST не заменяет пентест; не вздумайте так сказать опытным специалистам или на собесе), только автоматический 😅

Как это работает?

Представьте, что у вас есть веб-сайт. DAST подключается к нему, как обычный пользователь, и начинает гулять по страницам, кликать кнопки, заполнять формы. Только делает это гораздо настойчивее и хитрее. Например, вводит в поле для имени не «Иван», а «alert(1)» — и смотрит, что произойдет. Если скрипт отработал, значит, уязвимость XSS налицо. Или пробует подставить ' OR '1'='1 в запрос — если база данных «сломалась», значит, SQL-инъекция (ставьте ⚡️, если хотите отдельный цикл постов по распространенным типам уязвимостей)

В отличие от SAST, который строит дерево кода, DAST строит карту приложения: какие есть страницы, как они связаны, куда ведут формы. И уже по этой карте начинает искать слабые места 🤌

Как использовать DAST?

Обычно DAST-сканеры разворачиваются либо как отдельный инструмент с веб-интерфейсом, куда вы указываете адрес тестируемого приложения, либо интегрируются в CI/CD пайплайн. В первом случае — можно руками запускать проверку, во втором — приложение будет проверяться автоматически при каждом релизе. Удобно то, что в отличие от SAST, DAST не требует доступа к коду, так что можно тестировать даже сторонние сервисы 👍

Инструменты для реализации DAST

Здесь тоже есть как опенсорсные решения, так и коммерческие. Среди бесплатных и популярных — OWASP ZAP, Arachni, Wapiti. Из отечественных коммерческих — можно выделить PT Application Inspector (он умеет и DAST, и SAST), PT BlackBox, а также Solar appScreener. Среди зарубежных — Burp Suite и Acunetix. Эти продукты обычно предоставляют гораздо более широкий функционал, включая формирование весьма симпатичных отчетов, интеграции с баг-трекерами и ранжирование тестов

В своей практике я работал с OWASP ZAP (помимо того же PT AI). Отличный и легкий опенсорс для CI/CD и базовых проверок. Рекомендую попробовать 😉

Надеюсь, что этот пост был вам полезен. Мне даже понравилось их писать:)

#информационная_безопасность #dast